Previous 

Использование ФПСУ-IP для балансировки нагрузки на порты внутреннего сервера

Next

Рассмотрим пример с балансировкой нагрузки на порты внутреннего сервера. Входящие клиентские соединения можно распределять по разным портам сервера.

ФПСУ-IP отслеживает входящие пакеты в адрес сервера 192.168.10.10 на порт 80 и в зависимости от источника получения запроса изменяет порт получателя у входящего соединения. Хост 1 отправляет запросы серверу 192.168.10.10 на порт 80 по умолчанию, запросы данного хоста сервер получает на порт по умолчанию. Хосты 2 и 3 отправляют запросы серверу 192.168.10.10 на порт 80 по умолчанию, ФПСУ-IP по правилу МЭ с применением перенаправления порта MAP меняет порт назначения входящего соединения и сервер получает запросы данного хоста на другой указанный порт соответственно 1080 и 2080.

map_port_img2_130423

В настройках конфигурации ФПСУ-IP порта 1 (IP- адрес 10.10.10.1) необходимо описать хосты 192.168.0.1, 192.168.1.1, 192.168.2.1 или подсети, в которые они входят, как абоненты порта. В настройках конфигурации ФПСУ-IP порта 2 (IP- адрес 10.10.10.2) должен быть описан в качестве абонента сервер 192.168.10.10 или подсеть, в которой расположен сервер, принимающий запросы клиентов. Переназначение номеров портов входящих соединений клиентов задается правилами трафика межсетевого экрана, в которых указывается:

в поле опции MAP, IP-адрес назначения и новый порт;

IP-адрес отправителя в списке отправителей, пакеты которого требуется отслеживать и изменять порт назначения;

только один IP-адрес сервера в списке назначений правила;

служба, распространяющая действие правила только на пакеты TCP/UDP порта номер 80;

правило разрешается (accept, активно).

Конфигурация ФПСУ-IP должна содержать следующие установки:

Порт 1     Адрес            Маска        VLAN

       010.010.010.001  255.255.255.000   Нет

 

АБОНЕНТЫ

Адрес 192.168.000.001   Хост

  Имя   192.168.001.001

  MAC   Не задан    

  Режим работы     Ретрансляция

  Режим партнера

   Данного порта   Ретрансляция  Через ФПСУ

   Другого порта   Ретрансляция  Через ФПСУ  

  Работа разрешена

  Правила межсетевого экрана для этого абонента

   serv_host1

 

Адрес 192.168.001.001   Хост

  Имя   192.168.001.001

  MAC   Не задан    

  Режим работы     Ретрансляция

  Режим партнера

   Данного порта   Ретрансляция  Через ФПСУ

   Другого порта   Ретрансляция  Через ФПСУ  

  Работа разрешена

  Правила межсетевого экрана для этого абонента

   map_port_1080

 

  Адрес 192.168.002.001   Хост

  Имя   192.168.002.001

  MAC   Не задан    

  Режим работы     Ретрансляция

  Режим партнера

   Данного порта   Ретрансляция  Через ФПСУ

   Другого порта   Ретрансляция  Через ФПСУ  

  Работа разрешена

  Правила межсетевого экрана для этого абонента

   map_port_2080

 

Порт 2     Адрес            Маска        VLAN

       010.010.010.002  255.255.255.000   Нет

АБОНЕНТЫ

Адрес 192.168.010.010   Хост

  Имя   192.168.010.010

  MAC   Не задан    

  Режим работы     Ретрансляция

  Режим партнера

   Данного порта   Ретрансляция  Через ФПСУ

   Другого порта   Ретрансляция  Через ФПСУ  

  Работа разрешена

  Правила межсетевого экрана для этого абонента

   serv_host1

   map_port_1080

   map_port_2080

 

Межсетевой экран ФПСУ-IP должен быть задействован. Должны быть созданы и задействованы следующие правила межсетевого экрана:

1.Правило, разрешающее входящие соединения по протоколу TCP/UDP хоста 192.168.0.1 в адрес сервера 192.168.10.10 на порт 80 (по умолчанию). Данное правило будет применено к абоненту 192.168.0.1 на порту 1 ФПСУ-IP, а также на порту 2 ФПСУ-IP к абоненту сервер 192.168.10.10, указанному как хост;

2.Правило, разрешающее входящие соединения по протоколу TCP/UDP хоста 192.168.1.1 в адрес сервера 192.168.10.10, порт IP-адреса назначения - по умолчанию 80 подменяется на другой порт 1080 по заданному правилу MAP. В правиле во вкладке «Назначение» обязательно должен быть указан один и только один IP-адрес - адрес сервера. Во вкладке «Источник» явно указан источник - хост 192.168.1.1. Во вкладке «Общие» в поле MAP необходимо указать тот же IP-адрес сервера, что указан в адресе назначения, и новый порт 1080. Данное правило будет применено к абоненту 192.168.1.1 на порту 1 ФПСУ-IP, а также на порту 2 ФПСУ-IP к абоненту сервер 192.168.10.10;

3.Правило, разрешающее входящие соединения по протоколу TCP/UDP хоста 192.168.2.1 в адрес сервера 192.168.10.10, порт IP-адреса назначения - по умолчанию 80 подменяется на другой порт 2080 по заданному правилу MAP. В правиле во вкладке «Назначение» обязательно должен быть указан один и только один IP-адрес - адрес сервера. Во вкладке «Источник» явно указан источник - хост 192.168.2.1. Во вкладке «Общие» в поле MAP необходимо указать тот же IP-адрес сервера, что указан в адресе назначения, и новый порт 2080. Данное правило будет применено к абоненту 192.168.2.1 на порту 1 ФПСУ-IP, а также на порту 2 ФПСУ-IP к абоненту сервер 192.168.10.10;

4.Правило, запрещающее все остальные не указанные выше входящие и исходящие соединения, обязательно присутствует последним правилом в правилах МЭ при активации межсетевого экрана.

 

Межсетевой экран активен: Да

 

Правила трафика

1. serv_host1

     Общие

       Действие        : Accept

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник

       Адрес           :   192.168.000.001 192.168.000.001

     Назначение

       Адрес           :   192.168.010.010 192.168.010.010

     Служба

       TCP/UDP

 

2. map_port_1080

     Общие

       Действие        : Accept

       Map             : 192.168.010.010 1080

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник

       Адрес           :   192.168.001.001 192.168.001.001

     Назначение

       Адрес           :   192.168.010.010 192.168.010.010

     Служба

       TCP/UDP

 

3. map_port_2080

     Общие

       Действие        : Accept

       Map             : 192.168.010.010 2080

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник

       Адрес           :   192.168.002.001 192.168.002.001

     Назначение

       Адрес           :   192.168.010.010 192.168.010.010

     Служба

       TCP/UDP

 

4. Block other traffic

     Общие

       Действие        : Drop

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник        : Любой

     Назначение      : Любой

     Служба          : Любая

 

Службы

 

1. TCP/UDP

     Общие

       Описание        :

       Протокол        : TCP/UDP

       Порт источника  : Любой

       Порт назначения : 80 (World Wide Web HTTP)

В конфигурациях ФПСУ-IP приведены только необходимые для работоспособности схемы настройки, дополнительно для абонентов должен быть выключен флаг «Только Broadcast», флаг «Отвечать на Ping» устанавливается на усмотрение администратора.